windows 远程桌面, rdp 通过端口映射开放到公网访问,有什么好的安全措施吗
wanmyj · 2023-11-18 19:47:48 +08:00 · 7842 次点击这是一个创建于 369 天前的主题,其中的信息可能已经有所发展或是发生改变。
如题,有时候需要临时连一下,不开 VPN 的情况下,感觉端口映射有点危险,但也是有 RDP 需求。
 |
1
Quarter 2023-11-18 19:53:05 +08:00 via Android
额,组网或者套一个 VPN
|
 |
2
maybeonly 2023-11-18 20:01:59 +08:00
不是弱密码并且补丁都打了的情况下,问题不大。
|
 |
3
datocp 2023-11-18 20:02:09 +08:00 via Android
当然还是 vpn 其它的叫 knock iptables ,没用过。
|
 |
4
cjpjxjx 2023-11-18 21:24:37 +08:00 via iPhone  2
在 V2 ,问就是让你上 VPN
|
 |
5
srlp 2023-11-18 21:26:09 +08:00 via iPhone
tailscale 或者 zerotier
|
 |
6
PrinceofInj 2023-11-18 21:32:23 +08:00 1
我的一直开着,补丁打全,密码别用简单的,开了有一年了,没啥问题。检查日志,偶尔会收到一些爆破的,但是用的都是些常用账号尝试的,我直接用的微软账号,普通账号压根没开,谅爆破者到地老天荒都进不来。
|
 |
7
alexwu 2023-11-18 21:35:07 +08:00
改端口,经常更新系统
|
 |
8
beyondstars 2023-11-18 21:40:47 +08:00
不使用 RDP 默认端口,不把 RDP 的端口映射到公网上,把 ssh 的端口映射到公网上,需要连接的时候用 ssh -L 转发。
|
 |
9
iomect 2023-11-18 21:44:44 +08:00 4
我的主力机装了 eset nod32 防火墙会自动挡住
其他的各 win 虚拟机上面装一个软件 rdp defender 爆破 ip 会被自动黑名单 实际效果这样子  |
 |
10
iamobj 2023-11-18 22:19:34 +08:00 1
我是做了个微信机器人,然后通过发送指令控制是否开启端口映射,要远程了我就发指令开启,远程完就关闭,这样最稳妥,减少暴露公网的时间
|
 |
11
ranaanna 2023-11-18 22:39:54 +08:00
@iomect 好丑的用户界面。另外 windows defender firewall 挡不住吗,还需要这些(过时、收钱、无效、冗余)的软件来挡?
|
 |
12
jarryson 2023-11-18 22:49:42 +08:00
还有个后台服务软件叫 ipban ,能提供一样的功能,我现在在用。
改端口,禁用 NLA ,NTLM ,应该会好一点。目前没发现有人尝试。之前开了 ssh 端口,也改了端口,才开了两天都被植挖矿病毒 |
 |
13
Archeb 2023-11-18 22:51:02 +08:00
密码加强,系统版本及时更新,使用最新加密方法。
全世界用公网 RDP 的多了,奇奇怪怪的私有方案不一定比微软专门维护的 RDP 安全,一般说公网 RDP 容易被黑都是因为很多人用弱密码或者不设密码。 实在不放心,RDP 也支持双向证书认证,这个足够安全了吧。 |
 |
14
Damn 2023-11-18 23:05:31 +08:00 via iPhone
我高位端口弱密码跑了多年了也没中过招。。
|
 |
15
allpass2023 2023-11-18 23:37:22 +08:00
除了当年的 WIN2000/XP 可以用空密码远程,之后好像都没有听说过出问题。
非重点目标的话,用非标端口+非默认用户+复杂密码应该够安全了。 |
 |
16
Tumblr 2023-11-18 23:52:11 +08:00
高位端口+强密码+动态 IP ,相当于 100%安全,几乎可以认为不可入侵。
|
 |
17
chunson 2023-11-18 23:52:30 +08:00 via Android
我之前用过内网穿透+端口转发,还是弱口令,直接中勒索病毒,还好没什么重要文件。血的教训
|
 |
18
clorischan 2023-11-19 00:37:33 +08:00
远程桌面网关
|
 |
20
jim9606 2023-11-19 02:14:35 +08:00
主要是不像 ssh 可以用双向公钥认证,RDP 好像并不能设置这个,只能用 TLS 单向认证+Windows 内置的账户密码认证,又没有什么防爆破措施,个人不太信任双向公钥以外的认证方法。
|
 |
22
icaolei 2023-11-19 02:22:15 +08:00
公网 IPv6 ,3389 端口一直开着的。不过一般是关机状态,远程需要用的时候会先 WOL 唤醒下再连。
|
 |
23
Chad0000 2023-11-19 04:31:42 +08:00 via iPhone
改默认端口就能解决 99%的攻击问题。我改后好多年了都没有再被爆破过。
|
 |
24
ltkun 2023-11-19 06:44:22 +08:00 via Android
为啥要暴露公网 wireguard 不行吗
|
 |
25
opengps 2023-11-19 07:39:44 +08:00
第一强密码
第二改成非默认端口 很多服务器甚至都只完成第一步,所以这两部加起来已经可以避免绝大多数有效攻击了 |
 |
26
zggsong 2023-11-19 09:30:49 +08:00
堡垒机,nextterminal
|
 |
28
smallfount 2023-11-19 10:11:42 +08:00
非标端口复杂密码关默认用户名。。可以的话把 ping 也关了。。
|
 |
29
mortal 2023-11-19 10:25:42 +08:00
IPv6 only + DDNSv6 + 非默认端口 + 最新版本 RDP ,没有被爆过。
为什么不用 VPN ?是觉得会影响其他网络,还是嫌麻烦? 前者还可以使用 SS + RDP over socks5 解决,后者有一些 RDP 软件可以自动在连接之前拨号 VPN 。 |
 |
30
Rache1 2023-11-19 10:40:39 +08:00
Duo security 可以加二次验证。
|
 |
31
deorth 2023-11-19 10:52:08 +08:00 via Android
just dont
|
 |
33
asdgsdg98 2023-11-19 12:41:21 +08:00
防火墙 default deny
|
 |
34
loopinfor 2023-11-19 13:34:34 +08:00 via Android
要注意有时你以为只有微软账号能登陆,实际上本地缩写用户名也是可以登录的
|
 |
35
565656 2023-11-19 13:37:21 +08:00
装个火绒就行了 3306 改成 6666
|
 |
36
photon006 2023-11-19 14:25:40 +08:00 2
我中过勒索病毒,我有发言权[doge]
1 、首先 rdp 需要帐号密码一起登录,帐号别用 Administrator ,用这个相当于破解成功了一半,用自定义名称加大难度。 2 、抵御暴力破解,linux 下有个工具叫 fail2ban 可以很方便防御暴力破解,windows 也有类似的: https://github.com/DigitalRuby/IPBan ,但这玩意儿只能在公网 ip 环境识别对方的 ip 进行屏蔽,如果是内网穿透暴露到公网则无效,所以 IPBan 只能用在公网 ip 端口转发场景下(既然都端口转发了顺便把入站端口改成高位端口,别用默认 3389 ),而内网穿透可以做到更安全,比如 frp 的 tcp 模式是穿透到互联网完全暴露,stcp 模式只穿透到公网上的某个局域网,安全很多很多。 比较这 3 种方案,frp + tcp 安全性最差,公网 ip + 端口转发 + IPBan 还是会被尝试暴力破解,frp + stcp 不会,在需要访问的本机启动 visitor 客户端,则只有自己能访问远程 rdp ,安全性很接近 vpn ,不管本机是 linux 还是 windows 都可以设置 visitor 开机自启,用起来很方便,linux 用 docker ,windows 用 winsw 写入服务。 3 、验证效果,打开 windows 事件查看器,搜索 4625 可以看到被暴力破解次数,过去 7 天 32897 次:  4 、最安全还是 vpn ,暴露的攻击面小很多,比如 wireguard 只暴露一个 udp 端口,即使家宽没有公网 ip 也可以用 frp 把 udp 端口穿透出去假装有公网 ip ,不过传输带宽依赖于 vps ,实测 1M 也可以 rdp 。 我发现也有弊端,vpn 客户端会导致本机所有公网流量优先在远端 peer 绕一圈,这是我所不希望的。 总结起来,frp + stcp 和 vpn 这 2 种方案不会被暴力破解,4625 失败登录次数会是 0 。 |
 |
37
laminux29 2023-11-19 18:59:37 +08:00
1.经常观察本地 IP 地址段,把地址段的 IP 以 16 位掩码,做成白名单。此举直接灭掉 99% 的扫描、入侵与攻击。
2.安装 wailban ,安全加 0.9%。 3.经常更新补丁 + 安装 360 安全卫士 + 复杂密码,补齐最后的 0.1%,直接无敌。 |
 |
38
lefthand2006 2023-11-19 19:29:39 +08:00
我是 surge+ss server vpn 回家
|
 |
39
pluszone 2023-11-19 22:12:51 +08:00
RDP 基础上,用上屏幕锁,告诉你密码 你也进不到桌面。有其他招吗?
|
 |
42
l8L12cwti87t9Kwg 2023-11-20 10:35:47 +08:00
小公司的网,解析到域名,开了 5 年,目前没发现问题。
如楼上前面人所说, 1. 不要用 administrator 2. 然后密码复杂化 3.可以用组策略里定制下安全策略,比如登录失败 3 次锁定等等 |
 |
43
winson030 2023-11-20 15:17:58 +08:00
推荐 tailscale ,很稳!
|
 |
44
1014982466 2023-11-20 20:31:05 +08:00
日经贴,你问就是 VPN
但是个人就 TODESK+远程桌面就行了,最新的系统+自己的用户名和密码它破到下辈子也破不开 |
 |
45
sxbxjhwm 2023-11-21 10:24:46 +08:00
ssh 隧道解决问题
|
 |
46
starinmars 2023-11-21 10:25:42 +08:00
申请一个证书,开启 ssl 。这样也比较安全吧!
|
 |
47
Laoz666 2023-11-21 13:50:38 +08:00
直接 tailscale 组网 相当于内网链接
|
 |
48
chenpbh 2023-11-21 15:04:11 +08:00
我现在是安装 ssh-server ,然后通过 ssh 打隧道再远程桌面,上次开远程桌面被黑了,怕了
|
 |
49
mm2x 2023-11-22 08:28:36 +08:00
我直接使用 IPv6+非标高端口+强密码。我认为还算安全。没发现端口被扫过哈哈。。毕竟电信给了/56 .咋扫呢
|
 |
50
ayase46k 2023-11-22 10:32:02 +08:00
腾讯云 frp ,高位端口,32 位随机生成密码,禁用默认账号密码,定期更新安全补丁,最近 7 天被爆破 1.7w 次。已经用了半年,暂时没有被黑过。
|
 |
52
fengyaochen 363 天前 via iPhone
账户名用奇葩一点的名字
|
 |
53
Satansickle 362 天前
不要暴露 ipv4 ,用 v6 地址连接 RDP
|
|
54
photon006 351 天前
|
 |
55
Fluctuations 3 天前
@iamobj 思路很好啊兄弟
|
Select Language